Apple a versé 75 000 dollars à Ryan Pickren, un chercheur en sécurité, qui a déniché 7 failles de sécurité de type 0-day, c’est-à-dire qu’elles ne sont pas connues du constructeur (Apple en l’occurrence) et du public.

Les failles sont liées à Safari, le navigateur Internet d’Apple sur iOS et macOS, avec lequel il était possible d’activer la caméra des iPhone et Mac à l’insu de l’utilisateur. Ce dernier n’avait qu’à visiter un site pour que les failles soient exploitées et que la caméra s’active sans son autorisation.

Les failles ont été rapportées à Apple en décembre dernier. Elles ont été corrigées en janvier avec Safari 13.0.5 (inclus dans iOS 13.3 et macOS 10.15.3) et il y a quelques jours avec Safari 13.1 (inclus dans iOS 13.4 et macOS 10.15.4).

Les vulnérabilités concernaient la façon dont Safari analysait les Uniform Resource Identifiers et initialisait les contextes sécurisés. Trois des failles permettaient d’accéder à la caméra en trompant l’utilisateur pour qu’il visite un site malveillant.

Si vous voulez obtenir tous les détails techniques des failles et la façon dont elles ont été exploitées, vous pouvez les retrouver sur le blog de Ryan Pickren qui propose des démonstrations, des illustrations et le processus complexe que cela requiert.